Коммерческая тайна и персональные данные: разграничение режимов

Коммерческая тайна и персональные данные: разграничение режимов

В чём путают 152‑ФЗ и 98‑ФЗ

Часто встречается запрос «фз 152 о коммерческой тайне». Это распространённая ошибка: 152‑ФЗ регулирует персональные данные, а коммерческая тайна — предмет 98‑ФЗ. Оба режима про конфиденциальную информацию, но они защищают разное:

• 152‑ФЗ — права гражданина как субъекта персональных данных;
• 98‑ФЗ — интересы владельца сведений, дающих коммерческое преимущество.

Чтобы снять путаницу, начнём с базовых определений и затем покажем, как эти режимы пересекаются и чем отличаются на практике.

Определения и сфера применения

• Персональные данные: любая информация, относящаяся к прямо или косвенно определённому физическому лицу. См. юридическое определение в Статье 3 и удобные термины в глоссарии.
• Конфиденциальность персональных данных — это требование 152‑ФЗ: оператор обязан не раскрывать ПДн третьим лицам без законных оснований. Подробно о режиме конфиденциальности — Статья 7 и принципы и цели обработки.
• Коммерческая тайна: режим для сведений, имеющих действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам, при условии, что владелец ввёл достаточные меры охраны. Этот режим установлен 98‑ФЗ.

Формула «коммерческая тайна 98 фз и 152 фз» означает, что в бизнес‑процессах нередко пересекаются оба закона: в документах, защищённых как КТ, могут одновременно содержаться персональные данные сотрудников или клиентов.

Правовая база и регуляторы

• 152‑ФЗ «О персональных данных»: обзор и базовые положения — о законе, актуальная редакция, см. также изменения 2025.
• 98‑ФЗ «О коммерческой тайне» и другие смежные акты собраны на странице связанные законы 149/187/63/98. О распространённых путаницах в номерах и названиях законов — здесь.

Регуляторы и контроль:

• Персональные данные: Роскомнадзор (РКН) — проверки, уведомительный порядок — уведомление РКН, реестр — реестр операторов ПДн.
• Коммерческая тайна: защита реализуется через договорные и гражданско‑правовые механизмы, а также нормы КоАП и УК. Специализированного регулятора по КТ нет.

Сравнительная таблица: ПДн vs коммерческая тайна

Критерий	Персональные данные (152‑ФЗ)	Коммерческая тайна (98‑ФЗ)
Объект защиты	Информация о физическом лице (сотрудники, клиенты, посетители сайта)	Сведения, дающие коммерческое преимущество и неизвестные третьим лицам
Субъект прав	Гражданин (субъект ПДн)	Владелец информации (компания, ИП)
Законность обработки	Правовые основания, цели, минимизация, точность	Введение режима КТ: перечень, доступ, маркировка, меры охраны
Согласие	Требуется в ряде случаев — см. согласие на обработку и обработку без согласия	Не требуется как отдельная конструкция; действует договорный и локальный режим
Конфиденциальность	Обязательна по умолчанию — Статья 7	Возникает при корректном введении режима КТ
Регулятор	Роскомнадзор	Нет отдельного регулятора
Ключевые документы	Политика обработки ПДн, реестр операций, назначение ответственного — роль ответственного	Положение о КТ, перечень сведений, NDA, приказы о допуске, маркировка
Маркировка	Не требуется, но гриф «ПДн. Конфиденциально» практикуется	Обязательна маркировка «Коммерческая тайна»
Исключения	Общедоступные ПДн — что это; специальные и биометрические — спецкатегории, биометрия	Сведения, которые нельзя отнести к КТ (например, сведения из обязательной отчётности)
Сроки и уничтожение	Сроки хранения, блокировка/уничтожение	По локальным актам и договорам, с учётом отраслевых правил
Ответственность	КоАП 13.11 и др. — штрафы, подробно — КоАП 13.11	Гражданская, административная, а в ряде случаев — уголовная ответственность

Пересечение режимов на примерах

• Кадры: личные дела, копии паспортов, медкнижки — это ПДн. Могут применяться и внутренние режимы КТ для зарплат и мотивации. См. Кадры и 152‑ФЗ, а также медицинские ПДн и специальные категории.
• CRM/продажи: персональные данные клиентов + условия сделок, прайс‑блоки, маржинальность — КТ. Нельзя прикрываться КТ, чтобы отказать субъекту в правах на доступ к его ПДн.
• Видеонаблюдение: изображения сотрудников/посетителей — ПДн, иногда биометрия. Правила — видеонаблюдение и 152‑ФЗ.

Как правильно:

• Разделяйте юридические основания: права субъекта ПДн по 152‑ФЗ нельзя ограничить ссылкой на КТ.
• Маркируйте и разводите потоки: отдельные папки/регламенты для ПДн и для КТ, разграничение прав доступа.
• Закрывайте внешние передачи: ПДн — по договору поручения обработки (поручение) или иному основанию; КТ — по NDA и договорным обязательствам о неразглашении.

Документы и процессы в компании

Для персональных данных:

• Каркас из документов — пакет документов по 152‑ФЗ.
• Политики и уведомления: политика обработки ПДн, заявления и отзыв согласия, согласие на обработку, при необходимости — согласие на распространение.
• Организация: назначение ответственного — кто отвечает, внутренний контроль и обучение.
• Регистрация: при необходимости уведомляйте РКН — уведомление.

Для коммерческой тайны:

• Положение о КТ, перечень сведений, порядок допуска, NDA с сотрудниками и контрагентами, маркировка документов и носителей, учёт и возврат при увольнении/расторжении.

Сайт и маркетинг: политика конфиденциальности по 152‑ФЗ

Если вы собираете заявки, подключаете аналитику или чаты, действует 152‑ФЗ. Здесь уместен поисковый запрос «политика конфиденциальности закон 152 фз» — на сайте должна быть корректная публичная политика и информирование о целях и обработчиках. Полезные материалы:

• Требования к сайту — чек по сайту, документы для сайта.
• Технические меры: SSL/HTTPS.
• Баннеры и файлы cookie — cookie и баннеры; формы — формы и согласие.
• Инструменты: Яндекс.Метрика, Яндекс.Формы, мессенджеры.
• Проверка: аудит сайта, онлайн‑проверка, готовый шаблон политики.

Важно: режим КТ редко применяется к публичному сайту; коммерческие сведения выносите в закрытые кабинеты с аутентификацией и договорными обязательствами.

Безопасность, хранение и доступ

Для ПДн обязательны меры по 152‑ФЗ и подзаконным актам:

• Организационные и технические — меры безопасности, уровни защищённости — уровни ИСПДн, модель угроз, криптография, регуляторы — ФСТЭК и ФСБ.
• Если база с КТ одновременно содержит ПДн, она становится ИСПДн — см. что такое ИСПДн.

Для КТ: режим опирается на локальные акты и организационные меры — перечень сведений, разграничение доступа, секретоносители, грифы «Коммерческая тайна», учёт и контроль копирования, DLP‑инструменты. Если в этих массивах есть ПДн — автоматически применяются и требования 152‑ФЗ.

Передача и разглашение

Персональные данные:

• Передача и доступ третьим лицам — правила, трансграничная передача — порядок.
• Обработка по поручению — договор поручения.
• Минимизация и обезличивание — обезличивание; нельзя прикрываться «общедоступностью» без оснований — общедоступные ПДн.
• Завершение жизненного цикла — прекращение обработки, уничтожение, сроки хранения.

Коммерческая тайна:

• Доступ строго по необходимости, с учётом приказов о допуске.
• В договорах с контрагентами — NDA, условия возврата/уничтожения носителей, ограничения субподрядчиков, запрет на публикации и кейсы без согласования.

Ответственность и проверки

Персональные данные:

• Административная — см. ответственность и штрафы и детально КоАП 13.11.
• Контроль РКН — плановые и внеплановые проверки.
• Инциденты и утечки — как действовать, инциденты, уведомления РКН — порядок.

Коммерческая тайна:

• Гражданско‑правовая ответственность, компенсации, взыскание убытков; возможно привлечение к административной и уголовной ответственности в зависимом от состава порядке.

Короткий чек‑лист различий

• Цель защиты: ПДн — права гражданина; КТ — интересы бизнеса.
• Основание режима: ПДн — закон, цели и правовые основания; КТ — локальные акты и достоверные меры защиты.
• Маркировка: для КТ обязательна, для ПДн — нет, но конфиденциальность обязательна.
• Проверки: ПДн — Роскомнадзор; КТ — судебная защита и договорная ответственность.
• Передача: ПДн — по 152‑ФЗ и с основаниями/согласиями; КТ — по NDA и ограничениям в договорах.
• Пересечение: если в КТ содержатся ПДн, одновременно применяется 152‑ФЗ.

Итоги и что делать дальше

Формула проста: «конфиденциальность персональных данных это 152 фз», а коммерческая тайна — 98‑ФЗ. Разграничьте процессы, документы и доступы, не прикрывайте обязанности по 152‑ФЗ ссылкой на КТ и наоборот. Для практической реализации:

• Проведите экспресс‑аудит — аудит соответствия 152‑ФЗ и чек‑лист.
• Настройте сайт и публичные документы — требования к сайту и шаблон политики.
• Сформируйте пакет — документы под ключ и консалтинг или используйте генератор политики и согласий.
• Нужна помощь на месте? Посмотрите услуги в Москве.

Если вы работаете за рубежом или обрабатываете данные нерезидентов, сопоставьте требования 152‑ФЗ и GDPR — см. GDPR и 152‑ФЗ. Так вы выстроите бесшовную защиту и исключите риски одновременно по двум режимам — персональные данные и коммерческая тайна.